Il 12 ottobre 2007 il Presidente del Consiglio dei Ministri ha emanato un provvedimento che consente ai certificatori accreditati per la firma digitale di dichiarare la conformità dei dispositivi (Smart card, Token USB, Hardware Security Module, ecc.) da essi rilasciati. Il decreto, emanato su proposta del CNIPA (Centro Nazionale per Informatica nella Pubblica Amministrazione), ha risolto un nodo cruciale per gli enti certificatori, che molte critiche aveva suscitato nei mesi passati. Il provvedimento, infatti, è giunto alla sua approvazione solo dopo molti mesi di lavorazione e solo il 16 gennaio 2008 è stato pubblicato in Gazzetta Ufficiale.

La dematerializzazione e la conservazione sostitutiva

Con il complesso di norme sull'innovazione digitale, il legislatore ha dato il via ad un'articolata regolamentazione della dematerializzazione e conservazione sostitutiva dei documenti. Ciò ha dato la spinta ad un processo di eliminazione della consistenza fisica degli archivi, tradizionalmente costituiti da documentazione cartacea, e loro sostituzione con delle copie in formato digitale. La tendenza, tanto nel settore privato, quanto, sebbene con una maggiore lentezza, nel settore della Pubblica Amministrazione, è quella del completo subentro del documento informatico al documento cartaceo; questo costituisce uno dei maggiori vantaggi dati dall'introduzione degli strumenti ICT per il trattamento automatizzato dell'informazione nei processi produttivi.

Si stima, infatti, che la dematerializzazione nella Pubblica Amministrazione potrebbe apportare allo Stato un risparmio di 2 miliardi di euro, sia per la riduzione della carta materialmente consumata per l'archiviazione, sia per l'abbattimento dei costi di gestione degli archivi, ma anche per la comodità di una eventuale ricerca tra i documenti sia operando direttamente sull'archivio in locale che a distanza attraverso la Rete.

Attraverso la procedura della conservazione sostitutiva viene regolato il cosiddetto "Document management", garantendo l'integrità, l'autenticità e l'equivalenza tra le copie del documento dematerializzato e il suo originale. Con l'emanazione del Decreto del 23 gennaio 2004 del Ministero dell'Economia e delle Finanze e con la Deliberazione del CNIPA n. 11 del 19 febbraio 2004, è stata introdotta la possibilità di conservare su supporti digitali i documenti cartacei, anche quelli aventi valore fiscale, utilizzando la firma elettronica qualificata e la marcatura temporale.

Spesso la conservazione sostitutiva è affidata ad un responsabile della conservazione esterno, il quale ha il compito di gestire l'archivio dei documenti informatici, senza alcun vincolo sulle procedure da utilizzare a tal fine, ad eccezione dell'obbligo di garantire la loro tracciabilità, nonché l'integrità e la possibilità di accesso continuo ai contenuti. L'intero processo di document management fin qui descritto è basato su un sistema di firma digitale, cioè sull'apposizione di un "marchio digitale" che fornisca la certezza della data di creazione, dell'origine e dell'immutabilità del documento.

Per apporre la firma digitale occorre dotarsi di un dispositivo elettronico, contenente al suo interno il certificato di sottoscrizione, cioè un file generato in base agli standard legislativi, che contiene informazioni relative all'identità del titolare e al periodo di validità del certificato stesso. Il certificato di sottoscrizione ha una durata determinata: il documento informatico firmato digitalmente, tuttavia, può avere una validità temporale che si protrae oltre la scadenza del certificato. In questi casi, al fine di prolungare la validità temporale del documento, si utilizza la marca temporale, cioè un sistema in grado di garantire che la formazione di un documento sia avvenuta in un determinato arco temporale. La titolarità della firma digitale è garantita dagli enti certificatori (ad esempio Poste Italiane), ossia soggetti dotati di particolari requisiti ed accreditati presso il CNIPA: il loro compito è tenere i registri attraverso i quali è possibile verificare l'identità del firmatario di un documento elettronico.

Il DPCM 12 ottobre 2007 e la problematica degli Hardware Security Modules

La firma digitale è apposta attraverso un particolare dispositivo, che deve essere adeguato ad articolati standard di sicurezza, i quali fanno capo alla direttiva europea 1999/93/CE, recepita nel nostro Paese dal Codice dell'Amministrazione Digitale (d. lgs. 82/2005). I dispositivi attualmente in commercio sono di due tipi: ve ne sono di alcuni capaci di apporre la firma digitale documento per documento, creando la necessità di inserire un codice d'accesso (PIN) ogni volta che il dispositivo intervenga su un nuovo documento; ve ne sono invece altri di ultima generazione, detti Hardware Security Modules (HSM), in grado di certificare un gran numero di documenti contemporaneamente.

E non c'è da stupirsi se molte società del settore informatico, elette dai privati come responsabili di processi di conservazione sostitutiva dei propri documenti, hanno diretto la loro preferenza per questi ultimi, data la necessità in numerosi casi di certificare migliaia di documenti (si pensi alle fatture in formato elettronico di un'impresa). La sicurezza e l'affidabilità degli Hardware Security Modules, oltre ad essere certificata da standard nazionali ed internazionali, era stata confermata e addirittura consigliata nelle Linee Guida del CNIPA per l'utilizzo della Firma Digitale del maggio 2004 e nella Risoluzione n. 161/E del 9 luglio 2007 dell'Agenzia delle Entrate.

Tuttavia, per l'impossibilità degli enti certificatori di "autocertificare" la validità di tali dispositivi in mancanza di una specifica norma in tal senso, molti acquirenti di Hardware Security Modules si erano ritrovati di fatto ad aver acquistato uno strumento che emetteva firme digitali prive di qualsiasi valore giuridico. La controversa situazione è stata risolta con l'emanazione del tanto atteso DPCM 12 ottobre 2007, il quale autorizza appunto l'attestazione, mediante autodichiarazione, della rispondenza dei propri prodotti e dispositivi ai requisiti di sicurezza previsti dalla normativa, per un periodo di 24 mesi decorrenti dall'entrata in vigore del decreto.

Si tratta purtroppo di un provvedimento legislativo che copre un periodo limitato di tempo, adottato per tamponare una situazione d'emergenza, esposto a critiche da parte degli operatori del settore, i quali temono che, allo scadere dei 24 mesi previsti dal testo di legge, la questione si presenterà più problematica che in precedenza.